「 人」是資安最重要的關鍵

安全是人、科技、流程的結合
從事資安工作是一個變動快速、有趣，又富有挑戰性的工作，也吸引不少人的投入。不過當談到「安全」的時候，雖然這是與每個人均密切相關的事，但是每個人對於安全卻有各自不同的定義，重視的程度也不一樣，此外，安全也是一種逐漸演進的過程，會隨著時間與技術的推移而改變，資安人必須隨時注意有哪些新的威脅、新的技術，以及未來的需求，才能跟的上時代的腳步。
要解析安全的定義，可以從人、科技、流程等三個方向來思考，跟人有關的部分包括對人的訓練與認知上的建立、認證、實體安全、人員安全、資訊系統安全監督等，在科技方面則有科技的層次、安全的準則、IT/IA（Information Technology /Information Assurance）的獲得、風險評估、驗證與鑑定等，與流程相關的則有評估、監督、入侵偵測、警告、應變、回復等流程，必須兼顧這三個領域，彼此間相互交疊管理，安全的範圍涵蓋實體世界與虛擬世界，無論是軟體還是硬體都需要去了解，才能真正做好安全工作。
提供一個安全平台是所有企業的責任，若因為安全出了問題，導致服務受到影響，影響性便相當大，例如假使ATM網路受到攻擊，則金融產業會受到重大的影響，每個人的生活也會面臨不便，甚至招受損失，可見安全的重要性。
為何「人」才是最重要的關鍵呢？因為有人才會產生巨大的差異性，空有科技產品，但缺乏由正確的人以正確的方式來使用正確的工具，仍然達不到預期的效果。事實上，安全的經驗是透過從錯誤中學習，包括從自己與他人的錯誤經驗中，都可以得到參考收穫，當錯誤發生時，光是責難並不能解決問題，而是要提出一套解決方案出來。一般來說，錯誤的發生也常是出現在不同的區域，因此必須更全面性地看待發生問題的原因，如此一來，才能減少錯誤發生的機率。
其實每個人對於「安全」的認知都不相同，包括自己本身是否認為「安全」真的很重要？這些認知上的差異性便會對安全性產生影響，當發生資安事件時，除了直接負責資安工作的人之外，其他人對於資安的關心程度，都會對企業發展造成影響。安全政策的推廣，影響最大的是企業文化，也會影響到管理者的決策，身為一個資安從業人員，便具有跟主管解釋資安重要性的義務。

證照是評估資安人的標準
既然「人」的重要性那麼高，那又該如何尋找到正確的人呢？在人才聘僱的過程中，我們可藉由證書、以往的職場表現，以及透過NDA（Non-Disclosure Agreement，保密合約）與其他合約來管理，此外也可以透過內部與外部的教育訓練課程，借用顧問服務的輔導，來提升現有人員的專業能力。
在企業中尤其是負責決策的人，對於企業文化、安全的認知，更是有決定性的影響，必須在企業內部建立每個人的責任感，以及對工作與組織的認同感，在政策與制度上避免員工抄「捷徑」，經常性地再次確認與驗證工作的成效，並防止特權被濫用，如此才能做好資安的管理工作。
在資安工作的宣導上，對於訓練與教育的觀念上，其實是有差異性存在的，訓練的意義比教育還要更為強勢，是告訴你該怎麼做，你就必須要去遵守，且需要所有的員工明瞭與接受這些規範的意義與目的，透過政策的制定，告知員工需要遵守的方向，必須強制執行監控、監督工作，並有明確的訓練步驟。
安全程序的制定，必須進行一整套的授權與稽核制度，定義哪些人可獲得授權，哪些人／事是例外的狀況，而程序的制定必須要經過溝通的過程，並符合最新的實際狀況，以及配合管理系統的支持才能夠成功。在道德觀的認知方面，主事者必須明確設定自己的預期想法，哪些事屬於詐騙的行為，並避免公司資產被濫用，這些道德政策的聲明，必須由上到下去貫徹實行。
證書是評估一個人的能力的最好方法，可以了解一個人的訓練與教育的程度，了解對方的能力範圍，以及建立專業能力與最基本的支援能力。此外，也可以透過工作轉換、職務的代理、訓練與審視、角色與責任的定義、授權的過程、責任的分擔等方式，來進行人才的培訓工作，以及告訴相關的人哪些是他必須知道的事，給予其最少的特權，並可透過專案管理的方式，根據其達到的工作里程碑與目標，來進行工作的評估指標。
安全問題的挑戰分別來自內部與外部，此外還包括應用程式出錯、競爭對手的入侵、硬體的當機等，必須採取預防性的維護措施，並對可能出錯的地方進行預先告知，便可減少安全問題發生的機率。在當前的社會上，仍然有許多恐嚇、詐騙、個人資料被濫用的情形出現，此外像是設備與儲存媒體的管理，如何建立應變計畫，以及了解新的風險與威脅，保持對新科技的了解等，都是資安工作者所應該去了解的，此外資安人也需要保有創造力，對新事物保持興趣，擁有嚴肅但是誠懇的工作態度，了解安全應變計畫，知道該如何達到目標，並有一顆永不放棄的心，才是資安人的基本態度。資安工作者仍必須保持向他人學習的心，不斷地嘗試新的方法，持續找到前進的動力，並了解每個人都有其不同的學習風格。

總結
最後，總結來說，安全意味著是不同的事面對不同的人，安全是人、科技、流程的組成，此外，雖然安全是不斷在變動中的目標，但仍是可以達到的方向。由於美國正在推行沙賓法案，導致企業對於CISO的需求增加，也加深了大眾對安全的重視，相信資安工作者在社會中的重要性會日漸提升，在此與所有資安人共勉之。